We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Re: SKUBU ir SVARBU DNS resolver ir DNS AMP


oles@ovh.net
06-25-2013, 12:56 PM
Sveiki,

Teikdama interneto infrastruktūrą, bendrovė OVH visada susiduria su DDoS tipo atakomis, tiek į mūsų infrastruktūras, tiek į mūsų klientų paslaugas. Nuo 2010 m. pabaigos, po Wikileaks bylos, DDoS buvo nukreipta daugeliu kanalų, o nuo 2013 m. pradžios, naudojant DNS AMP, jau bet koks vaikėzas gali paleisti kelių dešimčių Gbps DDoS ataką ir sukelti pavojų veiklai.

Mes patobulinome visas apsaugos priemones siekdami paprasto tikslo: apsaugos nuo DDoS atakų (anti-DDoS) paslauga negali būti laisvai pasirenkama. Priešingai, ši paslauga turi būti teikiama pagal nutylėjimą.

Jau 3-4 mėnesius kuriame naują apsaugos nuo DDoS atakų infrastruktūrą, kurią pavadinome VAC. VAC kaip „vaccum“, t.y. siurblys. Būkime meniški, idėja -nukreipti vadinamąjį siurblį į srautą, patenkantį iš interneto į jūsų paslaugas, ištraukti blogus paketus, paliekant gerus.

VAC1, šiuo metu ALPHA versijos, buvo įdiegtas Rubė. Šiuo metu jis veikia pakankamai gerai, todėl netrukus galėsime jums paaiškinti, kokią apsaugą nuo DDoS atakų pasiūlys OVH.

Šią savaitę planuojame paleisti BETA. Liepos 16 d. pristatysime VAC paslaugą mūsų svetainėje, taip pat ir naują šios paslaugos sutartį. Tikslas – kuo aiškiau pristatyti paslaugą ir suteikti jums daugiau garantijų.

Hardware
--------
VAC – tai sprendimų vienetas, galintis išvalyti iki 160 Gbps / 160 Gpps duomenų srauto.

Jį sudaro 2 maršrutizatoriai: Cisco ASR 9001 ir Cisco Nexus 7009. Iš viso VAC turime 114 prievadų po 10G, arba 1.14 Tbps maršrutizavimo (switching/routing) pajėgumų. Duomenų srautui valyti naudojame 2 tipų techninę įrangą: keturis „Tilera“ po 20 Gbps (iš viso 80 Gbps) ir vieną 30 Gbps TMS 4000.

Programinės įrangos plėtojimą „Tilera“ įrangoje užtikriname patys. Tai žemo lygio C/C++ kodas, eilės valdymas ir algoritmas, nustatantis, ar paketas yra geras, ar blogas. TMS 4000 – tai korpusas su Arbor algoritmu.

Duomenų srautas absorbuojamas prie įėjimo į duomenų centrą, išvalomas, vėliau nukreipiamas į salių maršrutizatorius. VAC1 atveju, srautas absorbuojamas dviejų pagrindinių Rubė maršrutizatorių lygmenyje, vėliau nukreipimas išvalyti penkiais aukštais. Kiekvienas aukštas išvalo vieno tipo ataką siekiant kuo labiau sumažinti atakos dydį, prieš perkeliant ataką į kitą aukštą. Ir taip toliau. Tik dėl šių 5 aukštų galime valdyti iki 160 Gbps ataką, kai mūsų konkurentai perka TMS 4000 Arbor korpusą su viena 10G korta ir gali filtruoti tik iki 10G, arba išvis nieko. Jeigu gaunate pernelyg dideles atakas, sutartis nutraukiama ir ieškote kito hostingo teikėjo: ir čia pasirodome mes, nes mūsų valdomų atakų dydis yra beribis..


Funkcijos
---------------
Su VAC, galėsime jums pasiūlyti šias paslaugas:

- firewall network
- DDoS atakų sprendimas
- sprendimo tipo pasirinkimas
- nuolatinis sprendimas
- atakos aptikimas ir sprendimo aktyvavimas
- techninė pagalba, kuri gali jums padėti atakos atveju

VAC taip pat absorbuoja atakas, kurios gali būti generuojamos mūsų tinkle. Kartais klientai nulaužia serverius, kurie vėliau naudojami atakoms. Aptikę atakas, mes jas taip pat absorbuojame VAC, vėliau išvalome, kol aptinkame nulaužtus serverius, kad perjungtume juos į rescue režimą.

VAC taip pat dalyvaus kovojant su spam. VAC galės absorbuoti ir dubliuoti iš duomenų centro išeinančių el. laiškų duomenų srautą, kad jį analizuotų anti-spam ir anti-virus. Mes galėsime pateikti statistiką apie iš kiekvieno IP SRC išsiųsto spam kiekį mūsų duomenų centruose, vėliau blokuoti IP SMTP srautą, jeigu manysime, kad tai spam siuntimas. VAC nesaugo laiškų, tik analizuoja duomenų srautą, todėl tai ne el. laiškų saugojimas, bet iš mūsų duomenų centrų išsiunčiamų el. laiškų pavyzdžių analizė realiu laiku.

VAC atlieka ne tik siurbimo, bet ir lyginimo funkciją.. ne, aš juokauju.

Dubliavimas
----------
VAC dubliavimą atlieka kitas VAC. Iki rugpjūčio mėn. pab. įdiegsime 3 VAC sprendimo vienetus 3 pasaulio vietose:

- Strasbūre (SBG)
- Rubė (RBX)
- Beauharnois (BHS)

Visi trys VAC veiks tuo pat metu ir kiekvienas absorbuos artimiausią duomenų srautą, kad jį išvalytų, vėliau srautas įkeliamas į mūsų vidaus tinklą tarp visų duomenų centrų. Ataka, nukreipta iš Majamio, FL, pereis į BHS, ją išvalys BHS, paskui srautas pateks į BHS vidaus tinklą per GRA, RBX, kad atkeliautų, pvz., į SBG esantį serverį, į kurį nukreipta DDoS ataka.

Bendras visų trijų VAC pajėgumas siekia 3x 160 Gbps, t.y. 480 Gbps/480 Mpps. Tai pati didžiausia apsaugos nuo atakų infrastruktūra, kurią tik galima pasiūlyti klientams.


Rezultatas
-----------
Apsaugos paslauga neribojama ir nepriklauso nei nuo atakos dydžio, nei trukmės, nei tipo. Mes galime suvaldyti bet kurią ataką, kad suteiktume jums paslaugą, kuri jus realiai apsaugotų nuo atakos, jeigu ją gautumėte X dieną.

Pagrindinis klausimas ne „Ar man tikrai jos reikia?“, o „Ar X dieną ji mane apsaugos?“. Dar praėjusią savaitę į mane skubiai kreipėsi klientas, kadangi jo tinklalapį atakavo nepatenkintas vaikėzas. Po trijų paspaudimų ataka perėjo per VAC1 ir jo tinklalapis www.prestashop.com vėl tapo prieinamas. Mes kasdien gauname iki 1200 atakų, nors ne visada vienodų, ir vidutiniškai apsaugome 700 iš jūsų..


Paslauga
-------
Mes pasiūlysime 3 lygių paslaugą:

- pagal nutylėjimą, įtrauktą į kainą, tikslas – apsaugoti mūsų infrastruktūrą ir kliento paslaugą "best effort" režimu. Kad gerai apsaugotume infrastruktūrą nuo atakų, turime žinoti, kas įdiegta serveryje, kad būtų įdiegta tinkama sprendimo konfigūracija. Be žmogiškojo dialogo su klientu galime garantuoti tik "best effort". Šį paslaugos lygį siūlysime pagal nutylėjimą.

- su PRO parinktimi jūs galėsite pritaikyti apsaugą savo poreikiams, per tvarkytuvą arba APIv6. Mes jums pasiūlysime šias priemones:
- 480 Gbps firewall network, galimybė įdiegti 100 ACL linijų per IP DST. Tai OVH naujovė.

- sprendimo tipo pasirinkimas: web, smtp, game, teamspeek, streaming ir t.t.;

- nuolatinis sprendimas ar atakos aptikimo aktyvavimas, automatiškai pereinant prie VAC;

- pagalbos teikimas el. paštu:
ddos@ml.ovh.net

- užsisakius VIP pagalbos paslaugą, jums bus teikiama konfigūravimo pagalba 24/24 + atakos metu galėsite bendrauti su konsultantu, kad kuo greičiau ir veiksmingiau jums sukonfigūruotų geriausią apsaugą nuo atakos. VIP komanda užtikrina monitoringą 24/24 ir pritaikys apsaugą pasikeitus atakai.


Kaina
----
ALPHA laikotarpiu, kaip jau pranešėme, apsauga nuo DDoS atakų turi būti įtraukta į serverio, VPS, pCI, pCC ar ADSL jungties paslaugos kainą.

Buvome labai nustebę skaitydami tą patį klausimą: "Kiek tai kainuos?"

Tai mus privertė viską gerai apmąstyti.. labai gerai.

Po ilgų apmąstymų turėjome 3 pasirinkimus:

- daryti kaip visi, t.y. siūlyti sprendimo paslaugą už tam tikrą kainą, numatant, kad sprendimo pajėgumas priklauso nuo kainos, ir bet kuriuo atveju, yra 10 Gbps ar 20 Gbps apribojimas (!!). numatyti atakos trukmę (!!) vėliau mokėti daugiau, jeigu reikia daugiau apsaugos (!!) trumpai tariant, tai būtų ribota ir neįkainojama paslauga. Visų konkurentų ir teikėjų siūlomų sprendimų standartinis verslo modelis.

Pasiūlyti nebrangiai kainuojantį, bet patenkinamą sprendimą, t.y. investuoti į infrastruktūrą (kalbame apie trečią), tačiau neįtraukti sprendimo kainos į kiekvienos paslaugos kainą. Paprasčiausiai pasiūlyti, bet nesusieti kainos su sprendimu, nesamdyti apsaugos nuo atakų komandos 24/24 ir tikėtis, kad X dieną to užteks.


- pasirinkome trečiąjį kelią: padalinti VAC ir komandų išlaikymo sąnaudas tarp visų esamų ir būsimų klientų mūsų infrastruktūrose. Šiuo atveju, kalbame apie privalomą parinktį visiems esamiems dedikuotiems serveriams, VPS ir pCC. Kadangi tai aktualu daugeliui klientų, nežymiai padidinome paslaugos kainą:
- VPS: +0.5 EUR/mėn.
- KS: +1 EUR/mėn.
- SP: +1 EUR/mėn.
- EG: +2 EUR/mėn.
- MG: +2 EUR/mėn.
- HG: +3 EUR/mėn.
- pCC: +5 EUR/mėn.
- housing: +10 EUR/mėn.

Padidinę visų esamų ir būsimų serverių kainą, galėsime ir toliau investuoti į savo infrastruktūrą, ją tobulinti atremiant naujas atakas.

Nauji įkainiai pradės galioti nuo 2013 m. rugsėjo 1 d., visiems esamiems serveriams. Jeigu pasirinkote metinį apmokėjimą, siūlome apsaugą nuo DDoS atakų, todėl kaina lieka ta pati.

Kaina didinama nuo +0.5 EUR/mėn. iki +10 EUR/mėn. Tai gali pasirodyti visai nedaug, palyginti su tuo, kiek kainuoja mūsų konkurentų siūloma anti-DDoS paslauga. Jūs taip pat galite sakyti, kad mes negalime pasiūlyti kokybiškos apsaugos nuo DDoS atakos už tokią mažą kainą. Atsižvelgdami į klientų skaičių ir padalinę sąnaudas ir investicijas, galime visiškai drąsiai atsakyti į šį iššūkį ir užsitikrinti tvirtą apsaugos nuo atakų poziciją, kad X dieną galėtume jus apsaugoti.

Draugiški linkėjimai
Octave